A Patch Tuesday da Microsoft relata 6 falhas já sob fogo • O registro

Patch terça -feira O Patch Tuesday da Microsoft apareceu, com uma dúzia de falhas sujas competindo por sua atenção urgente – seis deles classificaram críticos e outros seis já sendo explorados por criminosos.

Vamos começar com as seis vulnerabilidades já exploradas, três das quais afetam o Windows NTFs.

O primeiro é CVE-2025-24993 – Um excesso de buffer baseado em heap no NTFS usado pelo Windows Server 2008 e por sistemas posteriores, bem como no Windows 10 e 11. A falha torna a execução do código remoto (RCE) uma possibilidade e é bastante simples de explorar, alerta Redmond.

Embora seja tecnicamente um RCE, requer alguma ação local, como fazer com que um usuário monte uma imagem de disco rígido virtual malicioso (VHD), como Redmond explica: “Esse tipo de exploração às vezes é chamado de execução de código arbitrário.

“Um invasor pode enganar um usuário local em um sistema vulnerável a montar um VHD especialmente criado que desencadearia a vulnerabilidade”.

Dito isto, essa falha de 7,8 severidade está sendo explorada na natureza.

A segunda vulnerabilidade do dia zero, CVE-2025-24991é uma falha de divulgação de informações no NTFS classificada 5,5 na escala de gravidade do CVSS de dez pontos. O bug permite que um invasor execute uma leitura fora dos limites para acessar dados no sistema de destino, mas novamente apenas se a vítima, por exemplo, montar um VHD especialmente criado.

O outro emissão de NTFS explorada é a 4.6 com classificação CVE-2025-24984que permite a inserção de informações confidenciais em um arquivo de log. Os atacantes precisam de acesso físico ao computador de destino. Todas as três falhas do NTFS foram relatadas anonimamente, disse a Microsoft.

Uma das outras falhas exploradas é CVE-2025-24985um bug de execução de código de 7,8 com classificação no driver do sistema de arquivos gordurosos do Windows Fast. Novamente, a exploração exige convencer um usuário local a montar um VHD especialmente criado. Se emparelhado com uma falha de escalada de privilégio, um invasor poderá assumir completamente um sistema.

CVE-2025-24983 é explorável apenas por um usuário autenticado, mas permite a escalada de privilégio para o nível do sistema, executando um programa especialmente criado para explorar uma falha no subsistema Win32 Kernel.

A última das falhas que já está sendo explorada ativamente é CVE-2025-26633um recurso de segurança falha de desvio no Microsoft Management Console (MMC).

A micro pesquisadora de tendências Aliakbar Zahravi encontrou essa falha sendo abusada por criminosos. De acordo com a loja de segurançamais de 600 organizações já foram atingidas por atores de ameaças que enganaram os usuários a clicar em um arquivo MSC envenenado – um tipo de arquivo usado pelo MMC para configurar e monitorar componentes do sistema – que, graças ao mencionado CVE, oferece aos atacantes a chance de executar o código no contexto do usuário.

Vamos ser críticos

O pacote de patch de março também aborda seis falhas críticas.

Dois deles estão presentes nos Serviços de Desktop Remote (RDS) do Windows e são classificados em 8.1 na escala CVSS.

O primeiro, CVE-2025-24035é um problema sensível de armazenamento de dados causado pela memória de travamento de RDS incorretamente. O segundo, CVE-2025-24045é uma falha complicada de explorar, exigindo que um invasor ganhe uma condição de corrida.

Há também uma falha de 8,8 ratadas no cliente de desktop remoto – CVE-2025-26645 – que permite que um invasor não autorizado execute o código em uma rede por meio de travessia de caminho relativo quando um cliente vulnerável se conecta a um servidor de protocolo de desktop remoto malicioso.

Outro bug crítico, uma falha CVSS 7.8 no escritório designado CVE-2025-24057deixou os pesquisadores de segurança coçando a cabeça. É um excesso de buffer baseado em heap que aparentemente exige que o usuário se envolva e, inadvertidamente, ajude o invasor.

“O bug do escritório em que o painel de pré -visualização é um vetor de ataque provavelmente verá façanhas, mas a Microsoft afirma que a interação do usuário é necessária”, disse Dustin Childs, chefe de conscientização da ameaça na iniciativa Zero Day da Trend Micro. “Talvez o alvo precise visualizar o arquivo no painel de visualização?”

As outras falhas críticas são CVE-2025-24064uma falha de uso e livre () no servidor DNS do Windows e CVE-2025-24084um subsistema do Windows para vulnerabilidade de execução de código remoto do kernel Linux.

Entre as 57 falhas, a Microsoft foi a Microsoft este mês está que já foi divulgada, mas ainda não explorada ou corrigida. CVE-2025-26630 é um bug de uso-uso após o Microsoft Access Spotted by Unpatched.ai. Se explorada com sucesso, isso permitiria a execução remota de código, mas o ataque exige que o alvo faça o download e abra um arquivo malicioso através da engenharia social.

Apple e Adobe se juntam à festa do patch

A Apple usou terça -feira para correção um problema sério, CVE-2025-24201que já está sob ataque. A falha permite que os invasores ignorem a caixa de areia de conteúdo da Web que o navegador Safari da Apple usa para isolar o conteúdo da Web do restante de um sistema e executar o código arbitrário em um sistema de destino.

A questão foi “explorada em um ataque extremamente sofisticado contra indivíduos direcionados específicos nas versões do iOS antes do iOS 17.2”, disse Cupertino. Quando a Apple usa esse tipo de linguagem, a experiência passada sugere que atores avançados de ameaças, como vendedores de vigilância comercial, encontraram uma maneira pelas defesas do ititano.

Depois de não emitir nenhum patches Para o Acrobat no mês passado, a Adobe encontrou nove falhas para corrigir este mês – seis delas críticas. Todos os críticos e um dos patches importantes permitem a execução do código arbitrário, enquanto as outras duas questões importantes envolvem vazamentos de memória.

Adobe também corrigiu três falhas críticas e três importantes em Ilustrador. Indesign também recebe Nove correções – Todos, exceto dois, tratados como críticos.

Os gráficos robustos também resolvidos Sete Bugs críticos no amostrador de substância 3D, dividiram duas correções para problemas críticos em Designer 3De o mesmo número para Painter 3D.

Modeler 3D marcou Quatro correções, duas delas críticas e o outro par meramente importante. ®